13.02.2023
PCI DSS (Payment Card Industry Data Security Standard, w tłumaczeniu z j. angielskiego „Standard bezpieczeństwa danych w branży kart płatniczych”) to standard z zakresu cyberbezpieczeństwa mający na celu maksymalną ochronę danych kart płatniczych podczas ich przechowywania, przetwarzania lub przesyłania. Został opracowany w grudniu 2004 roku przy współudziale pięciu międzynarodowych korporacji z branży kart płatniczych: Visa, MasterCard, American Express, Discover Financial Services i JCB International. 
Niedawno wydano wersję 4.0 standardu PCI DSS, która zasadniczo poprawia nieco już przestarzałe wymagania wersji 3.2.1 (opracowanej w 2018 roku, a formalnie jeszcze w 2016 roku), ale zawiera też zupełnie nowe wymagania odpowiednie do współczesnych realiów cyberzagrożeń. Struktura pozostała jednak niezmieniona: 12 rozdziałów zawierających szczegółowe wymagania (dokładnie 259 wymagań).
Lepiej jednak zacząć od czegoś innego, a mianowicie od terminów, w których wersja 4.0 stanie się obowiązkowa. Już od drugiego kwartału (1 kwietnia) 2024 roku wersja 3.2.1 traci ważność. W związku z tym, jeśli organizacja przejdzie planową ponowną certyfikację przed końcem pierwszego kwartału 2024 roku, wciąż może ją przejść zgodnie z wymaganiami wersji 3.2.1.
Ponadto, podobnie jak niegdyś wersja 3.2, również wersja 4.0 zawiera „najlepsze praktyki” — wymagania, które stają się obowiązkowe dopiero po 31.03.2025 roku, a do tego dnia są jedynie zaleceniami. Prawie wszystkie nowe wymagania są zaleceniami.
Co zatem dokładnie jest nowego w standardzie PCI DSS 4.0?
Po pierwsze do każdego rozdziału dodano wymaganie udokumentowania i opisania wszystkich stanowisk i obowiązków osób zaangażowanych w realizację wymagań danego rozdziału w organizacji.
Rozdziały pierwszy i drugi nie uległy znacznym zmianom.
Do rozdziału trzeciego dodano siedem nowych wymagań (nie licząc wymagania dotyczącego stanowisk i obowiązków). Ogólnie rzecz biorąc: • opisano oddzielnie wymagania dotyczące stosowanego haszowania (takie same jak dotyczące szyfrowania); • architekturę szyfrowania muszą teraz dokumentować nie tylko usługodawcy; • zamiast maskowania w formacie 6*4 dozwolone jest teraz maskowanie w formacie BIN*4.
Do rozdziału czwartego dodano tylko dwa nowe wymagania. Konieczna jest inwentaryzacja wszystkich kluczy zaufanych i certyfikatów służących do zabezpieczenia pełnego numeru karty podczas jego przesyłania. Dodano również wymagania dotyczące certyfikatów używanych do zabezpieczenia pełnego numeru karty przy jego przesyłaniu przez sieci publiczne.
Rozdział piąty zawiera pięć nowych wymagań — niemal symbolicznie. To właśnie w rozdziale piątym po raz pierwszy pojawia się nowe w standardzie PCI DSS pojęcie „targeted risk analysis” — ukierunkowana analiza ryzyka. 
Wersja 4.0 proponuje, by organizacje samodzielnie wypełniały tabelę, której szablon zawarto w nowej wersji standardu i w której analizowane są różne rodzaje ryzyka i wyciągane są wnioski dotyczące akceptacji, kompensacji lub unikania danego ryzyka itp. Właśnie w tej tabeli należy określić częstotliwość skanowania systemów za pomocą narzędzi antywirusowych oraz weryfikacji systemów, które są uważane za nienarażone na zagrożenia wirusowe. Ponadto rozdział piąty określa, że oprogramowanie antywirusowe powinno teraz skanować również wszystkie nośniki wymienne, a także wymaga zapewnienia ochrony organizacji przed phishingiem.
Do rozdziału szóstego dodano trzy nowe wymagania. Należy założyć i aktualizować rejestr wszelkiego indywidualnie opracowanego oprogramowania oraz wszelkiego oprogramowania stworzonego przez podmioty zewnętrzne. Ponadto właściciele stron internetowych łączących się z systemami płatniczymi muszą prowadzić listę wszystkich skryptów wykorzystywanych na tych stronach wraz z uzasadnieniem potrzeby stosowania każdego z nich. Dodatkowo obowiązkowe jest teraz stosowanie firewalla aplikacji webowej.
Rozdział siódmy również zawiera trzy nowe wymagania. Wprowadzono weryfikację wszystkich kont użytkowników pod kątem zasadności ich istnienia i przyznanych im uprawnień — przynajmniej raz na sześć miesięcy, a także wydzielono wymagania dla kont technicznych i serwisowych.Rozdział ósmy zawiera pięć nowych wymagań. Dotyczą one głównie uwierzytelniania wieloskładnikowego. Zdefiniowano także wymagania dotyczące kont, których można używać do interaktywnego logowania.
Do rozdziału dziewiątego dodano tylko jedno nowe wymaganie. Konieczne jest teraz sprawdzanie terminali POI pod kątem podróbek z częstotliwością określoną przez wspomnianą „ukierunkowaną analizę ryzyka”.
Rozdział dziesiąty zawiera trzy nowe wymagania. Dotyczą one obowiązkowego stosowania od 2025 roku automatycznych mechanizmów sprawdzania logów.
Rozdział jedenasty zawiera pięć nowych wymagań. W pewnym stopniu uściślają one specyfikę i procedury wewnętrznego skanowania podatności (które powinno być wykonywane tylko przez uprawnionych użytkowników), a także dodają, że systemy IDS/IPS powinny wykrywać i eliminować w szczególności ukryte kanały przekazywania szkodliwych programów. Pojawiło się również pojęcie „multi-tenant service providers” obejmujące wszelkie centra danych i dostawców usług w chmurze. Wszyscy oni będą musieli przechodzić dodatkową kontrolę zgodnie z załącznikiem A1.
Rozdział dwunasty jest ostatni i zawiera najwięcej (aż trzynaście) nowych wymagań. Aż dwa z nich są obowiązkowe do spełnienia już w 2024 roku. Jest to konieczność przeprowadzania wspomnianej już kilkukrotnie „ukierunkowanej analizy ryzyka” przynajmniej raz w roku, a także obowiązek ciągłego aktualizowania udokumentowanego opisu strefy zgodności z normą i przeprowadzania kontroli przynajmniej raz w roku lub w przypadku wystąpienia istotnych zmian w danym środowisku. Wszystkie inne nowe wymagania również skupiają się przede wszystkim na dokumentowaniu różnych aspektów dotyczących zapewniania przez organizację zgodności ze standardem PCI DSS.
Podsumowując, wersja 4.0 standardu PCI DSS skupia się na współczesnych problemach i metodach, zawiera szersze sformułowania niż poprzednie wersje, ale jest też bardziej wymagająca. Jednak rok przejściowy — podczas którego wersja 4.0 będzie już obowiązkowa, lecz prawie wszystkie nowe wymagania będą jedynie zaleceniami — pozwoli organizacjom przygotować się do nich i wdrożyć je bez pośpiechu.
Łącze do tekstu standardu PCI DSS w wersji 4.0:https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf
Łącze do opisu zmian w standardzie PCI DSS w wersji 4.0 w porównaniu z wersją 3.2.1:https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v3-2-1-to-v4-0-Summary-of-Changes-r2.pdf
Potrzebujesz uzyskać certyfikat PCI DSS w Polsce (Kraków, Warszawa, Poznań, Gdańsk, Wrocław, Łódź, Lublin, Katowice)? Nasi specjaliści skontaktują się z Tobą tak szybko, jak to możliwe!